Hace unos días, FingerprintJS descubrió una vulnerabilidad en el WebKit de Safari que afectaba a una API llamada IndexedDB, utilizada por multitud de webs para crear bases de datos de gran tamaño. El bug, en concreto, permite a las páginas que utilizan esta herramienta acceder a datos personales del usuario. Entre ellos, su historial de navegación reciente o, incluso, a los detalles de su cuenta de Google. Un grave problema de privacidad que, según Macrumors, Apple ya está solucionando.

El portal de noticias sobre Apple asegura que la compañía ya tiene listo un parche para solventar esta vulnerabilidad. Al menos, así lo muestra la sección de WebKit en GitHub. No obstante, se desconoce cuándo llegará a los usuarios, dado a que la corrección se lanza mediante una actualización para Safari y, por lo tanto, a través de una actualización en los respectivos sistemas operativos.

En este caso, es probable que Apple lance una actualización de seguridad para iOS 15, iPadOS 15 y macOS Monterey. Esta no incluye nuevas funciones de software, sino únicamente los parches que solventan el error de Safari. Los usuarios pueden instalar la versión a través de: Ajustes > General > Actualización de software.

El bug de Safari también afecta a Chrome, y no hay nada que el usuario pueda hacer

iPhone iOS 15 Safari

Mientras tanto, no hay nada que el usuario pueda hacer para evitar que las webs que utilizan IndexedDB accedan a la información de aquellas páginas abiertas en una pestaña o ventana. El bug, recordemos, también afecta a la navegación de incógnito, así como a otros navegadores que hacen uso de WebKit de Safari, como Google Chrome. Por otro lado, es complicado conocer qué portales utilizan la mencionada API y cuales no. Es importante tener en cuenta, además, que uno de los datos que las páginas webs pueden extraer IndexedDB es la información personal del usuario enlazada a la cuenta de Google. Estos datos pueden ser utilizados por webs maliciosas para identificar al navegante.

Una solución poco útil es bloquear el uso de JavaScript en aquellas webs que podrían utilizar la API afectada. No obstante, limitar el uso de este recurso puede hacer que la experiencia a la hora de navegar en Safari o Chrome no sea la más idónea. Muchos de los elementos, como imágenes, vídeos, banners, etc. utilizan JavaScript.